微軟威脅情報(bào)團(tuán)隊(duì)發(fā)布詳細(xì)報(bào)告指出，網(wǎng)絡(luò)犯罪分子和國(guó)家資助的黑客組織正將Microsoft Teams武器化，通過濫用其消息傳遞、會(huì)議、文件共享和外部聯(lián)盟等協(xié)作功能，入侵企業(yè)環(huán)境并維持長(zhǎng)期訪問權(quán)限。

報(bào)告強(qiáng)調(diào)："Microsoft Teams廣泛的協(xié)作功能和全球普及率，使其成為網(wǎng)絡(luò)犯罪分子和國(guó)家資助攻擊者的高價(jià)值目標(biāo)。威脅行為者在攻擊鏈的不同環(huán)節(jié)濫用其核心功能——消息傳遞、通話會(huì)議和基于視頻的屏幕共享。"

攻擊鏈初始階段：利用Entra ID進(jìn)行偵察

每個(gè)Teams賬戶都由Microsoft Entra ID（原Azure AD）提供支持，攻擊者利用這種深度集成進(jìn)行偵察。通過TeamsEnum、TeamFiltration和ROADtools等開源枚舉工具，攻擊者可以濫用Microsoft Graph API映射用戶、頻道和租戶配置。

微軟解釋稱："從API角度看，Teams是一種可通過枚舉目錄對(duì)象來(lái)查詢的對(duì)象類型，攻擊者將其存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中用于偵察，同時(shí)映射關(guān)系和權(quán)限。"此類偵察使攻擊者能夠判斷租戶是否允許外部通信、通過'在線狀態(tài)'數(shù)據(jù)識(shí)別活躍用戶，并評(píng)估隱私設(shè)置是否被禁用。這些情報(bào)通常用于目標(biāo)選擇和 pretext（欺騙借口）構(gòu)建，特別是在冒充可信IT或行政人員時(shí)。

租戶劫持與偽裝技術(shù)

完成偵察后，老練的攻擊者會(huì)建立惡意Microsoft Entra ID租戶，或劫持配置薄弱的合法租戶。微軟指出："威脅行為者試圖攻破配置薄弱的合法租戶，甚至在有把握最終獲利時(shí)直接購(gòu)買合法租戶。"為增強(qiáng)可信度，攻擊者常注冊(cè)自定義域名并應(yīng)用企業(yè)品牌標(biāo)識(shí)——模仿合法組織或內(nèi)部IT部門。這些偽造租戶隨后被用于托管釣魚活動(dòng)，通過Teams聊天邀請(qǐng)或會(huì)議鏈接開展社會(huì)工程攻擊和惡意軟件分發(fā)。

報(bào)告特別強(qiáng)調(diào)技術(shù)支持詐騙和基于Teams的網(wǎng)絡(luò)釣魚已成為初始訪問的常用手段。在多起案例中，攻擊者先用垃圾郵件淹沒受害者收件箱，再冒充IT支持發(fā)起Teams通話，聲稱可遠(yuǎn)程解決問題。

典型攻擊案例分析

Storm-1811行動(dòng)：冒充技術(shù)支持誘騙用戶執(zhí)行惡意遠(yuǎn)程監(jiān)控管理(RMM)工具。"例如2024年，Storm-1811冒充技術(shù)支持，聲稱要解決其主動(dòng)制造的垃圾郵件問題。他們使用RMM工具投放ReedBed惡意軟件加載器，最終傳遞勒索軟件有效載荷并實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。"

• Midnight Blizzard（俄羅斯關(guān)聯(lián)組織）：成功冒充安全和IT團(tuán)隊(duì)，誘騙受害者輸入驗(yàn)證碼，從而代表攻擊者完成多因素認(rèn)證(MFA)流程。
• 3AM勒索軟件團(tuán)伙：采用語(yǔ)音釣魚(vishing)和Teams冒充戰(zhàn)術(shù)，以阻止垃圾郵件攻擊為幌子獲取遠(yuǎn)程訪問權(quán)限，甚至偽造合法IT電話號(hào)碼。

持久化與權(quán)限提升技術(shù)

入侵后，攻擊者使用來(lái)賓賬戶、惡意令牌和設(shè)備代碼濫用維持持久訪問。微軟觀察到："Storm-2372通過利用設(shè)備代碼認(rèn)證流竊取認(rèn)證令牌，部分通過偽裝成Microsoft Teams會(huì)議邀請(qǐng)實(shí)現(xiàn)。"這使得攻擊者能在密碼重置或MFA強(qiáng)制執(zhí)行后仍保持訪問權(quán)限。

經(jīng)濟(jì)動(dòng)機(jī)明顯的Storm-0324等組織使用TeamsPhisher工具向Sangria Tempest等勒索團(tuán)伙投遞JSSLoader惡意軟件，長(zhǎng)期潛伏在企業(yè)環(huán)境中。

攻擊者越來(lái)越多地濫用Teams管理員角色進(jìn)行權(quán)限提升。微軟警告："如果威脅行為者成功入侵具有管理權(quán)限的賬戶或注冊(cè)其控制的設(shè)備，通常會(huì)嘗試更改權(quán)限組來(lái)提升特權(quán)。若攻陷Teams管理員角色，可能導(dǎo)致濫用該角色所屬的管理工具權(quán)限。"

國(guó)家級(jí)攻擊者的高級(jí)手法

與俄羅斯有關(guān)的Void Blizzard間諜組織曾被觀察到枚舉受害組織的Entra ID配置，提取Teams聊天記錄以指導(dǎo)后續(xù)攻擊。國(guó)家資助的Peach Sandstorm組織則通過Teams分享惡意ZIP文件，部署AD Explorer等偵察工具捕獲Active Directory數(shù)據(jù)庫(kù)快照。

更高級(jí)的演進(jìn)是，Brute Ratel C4(BRc4)和ConvoC2等紅隊(duì)工具已集成通過Teams消息協(xié)議建立命令控制(C2)通道的功能。微軟指出："Brute Ratel C4(BRc4)的破解版本包含通過Microsoft Teams等平臺(tái)的通信協(xié)議建立C2通道的功能，用于發(fā)送接收命令和數(shù)據(jù)。"該技術(shù)允許攻擊者在Teams消息中嵌入命令——與合法協(xié)作流量無(wú)縫混合——甚至通過webhook或Adaptive Cards外泄數(shù)據(jù)。

最終攻擊階段：數(shù)據(jù)勒索與心理施壓

攻擊最終階段通常涉及數(shù)據(jù)竊取、勒索或勒索軟件部署。Octo Tempest等經(jīng)濟(jì)動(dòng)機(jī)組織"使用Teams等通信應(yīng)用向組織、防御者和事件響應(yīng)團(tuán)隊(duì)發(fā)送嘲諷威脅信息，作為勒索和勒索軟件付款施壓策略的一部分"。攻擊者不僅將Teams用于滲透，還將其作為心理施壓工具，通過被入侵的渠道嘲弄受害者或聯(lián)系高管。